Publié initialement à : Une backdoor invisible en JavaScript
Une backdoor invisible en JavaScript
Salut Korben, merci de partager ce sujet très croustillant pour les codeurs malicieux. Je me suis moi-même intéressé aux caractères invisibles Unicode, et aux dangers que ça pouvait amener notamment par le biais de développeurs qui copient-collent du code trop facilement de StackOverflow sans vérifier leur contenu exact. J’en ai fait une vidéo où je montre une variante de cette attaque, en la déchiffrant pas à pas, pour ceux que ça intéresse: https://youtu.be/_JyMRj3cnRc?t=1857
@Korben: merci pour cet article, mais est-ce que ça veut dire qu’il y a potentiellement une faille n’importe où ? Ou il faut que le code lui même soit vérolé, je n’ai pas bien compris, mais je retiens du post de @sylvainpv que oui car des petits malins s’amuseraient à mettre ce genre de code sur StackOverflow ? Mais est-ce qu’on peut passer directement de caractère invisible + une commande bonus sur un appel client, façon injection SQL ?
Merci